CN101355425A - 组密钥管理中实现新组员注册的方法、装置及系统 - Google Patents
组密钥管理中实现新组员注册的方法、装置及系统 Download PDFInfo
- Publication number
- CN101355425A CN101355425A CNA2007101363360A CN200710136336A CN101355425A CN 101355425 A CN101355425 A CN 101355425A CN A2007101363360 A CNA2007101363360 A CN A2007101363360A CN 200710136336 A CN200710136336 A CN 200710136336A CN 101355425 A CN101355425 A CN 101355425A
- Authority
- CN
- China
- Prior art keywords
- group member
- new group
- original
- request message
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000004044 response Effects 0.000 claims abstract description 139
- 239000000284 extract Substances 0.000 claims abstract description 32
- 238000012545 processing Methods 0.000 claims abstract description 16
- 230000008569 process Effects 0.000 claims description 32
- 230000005540 biological transmission Effects 0.000 claims description 26
- 238000005538 encapsulation Methods 0.000 claims description 23
- 238000000605 extraction Methods 0.000 claims description 20
- 238000002224 dissection Methods 0.000 claims description 5
- 239000003795 chemical substances by application Substances 0.000 abstract 3
- 239000003550 marker Substances 0.000 abstract 3
- 230000002452 interceptive effect Effects 0.000 description 11
- 101000997798 Pseudomonas alcaligenes Gentisate 1,2 dioxygenase 1 Proteins 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 239000012141 concentrate Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000013016 learning Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了组密钥管理中实现新组员注册的方法,在需要自动组密钥管理服务的本地网络上部署代理,该方法还包括:代理接收本地网络的新组员发送的原始注册请求报文,将原始注册请求报文和新组员标志信息封装在请求报文中,向组控制器和密钥管理服务器GCKS发送;代理接收GCKS返回的响应报文,从响应报文中提取新组员标志信息和携带请求处理结果的原始响应报文,根据新组员标志信息将原始响应报文向新组员发送。本发明还公开了组密钥管理中实现新组员注册的装置和系统。应用本发明可以在组密钥管理中实现新组员加入时的自动注册。
Description
技术领域
本发明涉及组密钥管理技术,特别涉及组密钥管理中实现新组员注册的方法、装置及系统。
背景技术
互联网协议安全(IPsec,IP Security)是一组安全协议的总称,包括密钥管理和数据安全,以点对点的方式工作在IP层,能够提供授权、认证、密钥协商、密钥更新、数据安全等服务。开放最短路径优先路由协议第3版(OSPFv3,Open Shortest Path First version 3)是一种域内路由协议。RFC4552提出了如何用IPsec来解决OSPFv3的安全问题,针对OSPFv3运行于多播网络上的情况,提出了用组安全联盟(GSA,Group Security Association)来解决安全问题,让网络上的路由器共享同样的组安全算法以及密钥,即路由器在获得的GSA的保护下进行OSPF通信,建立路由。
但RFC4552只规定了如何使用GSA来解决OSPFv3的安全问题,但并没有同时提供一种自动组密钥管理机制,只建议了手工配置的方式。组密钥管理中很重要的一部分为组密钥的动态更新,即当组密钥到期或泄漏时,必须用新的密钥替换原来的密钥,即路由器必须在组密钥更新后,获得更新后的GSA。这种情况下手工配置就存在可扩展性差、安全性低的缺点,不适合多播网络较多、路由器数量较大的情况。
基于上述问题,OSPF和路由协议安全需求(RPSEC,Routing ProtocolSecurity Requirements)工作组提出了组密钥管理机制,该组密钥管理机制基于多播安全(MSEC,Multicast Security)工作组制定的组密钥管理(GKM,Group Key Management)协议,目的在于在组密钥动态更新后使路由器能自动获得更新后的GSA,以此来代替手工配置的方法。
draft-liu-ospfv3-automated-keying-req讨论了基于MSEC的GKM协议实现OSPFv3 IPsec组密钥管理中具体的需求。
用MSEC的GKM协议实现组密钥管理存在如下问题:MSEC的GKM协议基于客户端/服务器模型,要求客户端和服务端之间必须可达,也就是该协议运行时必须存在从客户端到服务器的路由。但在OSPFv3 IPsec的应用场景中,路由是由OSPFv3路由器建立的,建立过程需要MSEC的GKM协议的保护,这种保护由组控制器和密钥管理服务器(GCKS,GroupController Key Server)中的组安全联盟(GSA,Group Security Association)协议提供。路由器必须先从GCKS下载GSA后才能建立路由,但没有建立路由之前,路由器又无法从GCKS下载GSA,形成了矛盾。
进一步,由于GSA的传输也需要安全保护,通常将路由器从GCKS获得GSA的过程包含在MSEC的GKM协议注册过程中。所述注册的第一阶段为路由器作为组员向GCKS请求认证和密钥协商,此处的密钥指保证传输GSA安全的由路由器和GCKS两两协商的密钥,成功后与GCKS建立经过认证的加密通道,加密通道即指路由器和GCKS在交互中使用协商的密钥解析接收到的各种消息;所述注册的第二阶段为路由器通过所述加密通道向GCKS请求GSA下载,并获得GSA。不论在哪一个阶段,都可以将从路由器向GCKS发送的请求报文称为原始注册请求报文,而将GCKS返回的携带请求处理结果的响应报文称为原始响应报文,区别在于不同注册阶段的上述报文中携带的参数和内容不同。路由器和GCKS不断重复通过原始注册请求报文和原始响应报文进行的交互,直到路由器通过原始响应报文获得GCKS提供的GSA,注册过程的所有阶段结束。
考虑到GSA传输的安全性,解决MSEC的GKM协议实现OSPFv3 IPsec组密钥管理中存在的问题,需要GCKS本地可达,即路由器必须能在一跳内访问GCKS,运行注册过程以获得GSA。为此,draft-liu-ospfv3-automated-keying-req提出了3种可能的GCKS部署场景,下面简述这3种部署场景。
第一、在每个需要自动组密钥管理服务的OSPFv3多播网络上都部署一个GCKS,该GCKS可以是物理的,也可以是逻辑的,即GCKS由OSPFv3路由器担任。
图1示出了这种场景的网络结构。由于每个多播网络上都部署一个GCKS,则处于多播网路中的路由器都可以实现到自身网络中GCKS的本地可达,但这种部署场景的缺点在于:分散控制的多个GCKS难于实现组策略、组员授权等集中管理,管理代价高;如果部署物理的GCKS,将导致较大的部署代价;分散控制的GCKS难于集中保护,单个GCKS被攻破的风险变大。
第二、将GCKS分为密钥管理服务器(KS,Key Server)和组控制器(GC,Group Controller)两部分,在每个需要自动组密钥管理服务的OSPFv3多播网络上都部署一个KS,该KS是逻辑的,而GC只有一个,为集中部署。其中,GC负责制定组策略和授权信息,然后分发给KS。而KS负责按照GC制定的组策略和授权信息与路由器完成注册过程,以使路由器获得GSA。
图2示出了这种场景的网络结构。同第二种场景相类似,由于KS负责与路由器完成注册过程,而每个多播网络上都部署一个KS,则处于多播网络中的路由器都可以实现到自身网络中KS的本地可达,但这种部署场景的缺点在于:分散部署的KS难于集中保护,单个KS被攻破的风险变大;组员和KS之间注册时,只能采用数字证书等公钥认证技术,不支持口令等认证方式,降低了这种部署场景的可用性。
第三、在每个需要自动组密钥管理的OSPFv3多播网络上部署一个代理(Delegate),并在远端集中部署一个GCKS。网络开始运行的初始状态由手工配置,即为Delegate和多播网络上的路由器配置初始GSA。接下来Delegate和路由器可以分别使用初始配置的GSA建立到GCKS的路由,并分别通过建立的路由完成到GCKS完成注册。在组密钥更新后,Delegate负责通过已建立的和GCKS之间的路由,接收远端集中部署的GCKS推送的GSA报文,然后分发给所属多播网络上的路由器。
图3示出了这种部署场景的网络结构。这种场景的优点在于:GCKS是集中部署的,便于集中管理和集中保护,相对于在每个多播网络上部署一个GCKS的情况,降低了被攻破的风险;部署代价低,集中部署的GCKS可以同时服务多个OSPFv3多播网络;通过Delegate来转发报文,避免了在跨网络多播不可用的情况下,GCKS给所有组员一一推送更新后的GSA,解决了可扩展性差的问题。
相对于第一种和第二种部署场景,上述第三种部署场景虽然在网络运行的初始状态需要手工配置完成Delegate以及路由器向GCKS的注册,但在部署和维护方面具有明显的优势,并且在组密钥动态更新的情况下,还减轻了GCKS的负担,为这种部署场景得到广泛应用打下了较好的基础。但是,第三种部署场景中仍然存在尚未解决的需求。如果将网络运行初始状态时存在的路由器称为旧组员,将网络运行后动态加入的路由器称为新组员,当有新组员需要加入OSPFv3多播网络时,这些路由器由于没有路由而无法在GCKS上完成注册,从而无法访问GCKS得到GSA,而路由的建立过程又需要有GSA的保护,没有GSA就无法建立路由。在这种情况下,如果每次有新组员加入,都采用手工配置的方法,以使新组员获得GSA建立路由,需要做繁重的配置工作。
在组密钥管理中,除了上述OSPFv3 IPsec应用场景,新组员加入时存在问题之外,在其他的应用场景中,如果存在新组员无法识别GCKS、或者不知道GCKS位置的情况,新组员的注册也同样无法自动完成。
发明内容
本发明实施例提供一种组密钥管理中实现新组员注册的方法,该方法能够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的代理,该代理能够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的GCKS,该GCKS能够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的系统,该系统能够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的方法,在需要自动组密钥管理服务的本地网络上部署代理,该方法还包括:
代理接收本地网络的新组员发送的原始注册请求报文,将所述原始注册请求报文和所述新组员标志信息封装在请求报文中,向组控制器和密钥管理服务器GCKS发送;
代理接收所述GCKS返回的响应报文,从所述响应报文中提取所述新组员标志信息和携带请求处理结果的原始响应报文,根据所述新组员标志信息将所述原始响应报文向所述新组员发送。
本发明实施例提供一种组密钥管理中实现新组员注册的代理,该代理包括:封装处理模块和解析处理模块;
所述封装处理模块,用于接收本地网络的新组员发送的原始注册请求报文,将所述原始注册请求报文和所述新组员标志信息封装在请求报文中,向GCKS发送;
所述解析处理模块,用于接收所述GCKS返回的响应报文,从所述响应报文中提取所述新组员标志信息和携带请求处理结果的原始响应报文,根据所述新组员标志信息将所述原始响应报文向所述新组员发送。
本发明实施例提供一种组密钥管理中实现新组员注册的组控制器和密钥管理服务器GCKS,该GCKS包括:报文处理模块和报文封装模块;
所述报文处理模块,用于接收代理发送的携带新组员标志信息和原始注册请求报文的请求报文,提取所述新组员标志信息和所述原始注册请求报文,对所述原始注册请求报文进行处理,得出请求处理结果;
所述报文封装模块,用于将所述报文处理模块得出的请求处理结果封装在原始响应报文中,将所述报文处理模块提取的新组员标志信息和所述原始响应报文封装在响应报文中,向代理发送。
本发明实施例提供一种组密钥管理中实现新组员注册的系统,该系统包括:组控制器和密钥管理服务器GCKS、代理和新组员;
所述新组员,用于向本地网络中的代理发送原始注册请求报文,接收所述本地网络中的代理发送的携带请求处理结果的原始响应报文;
所述代理,用于接收本地网络中的新组员发送的原始注册请求报文,将原始注册请求报文和新组员标志信息封装在请求报文中,发送到所述GCKS;接收GCKS返回的响应报文,从响应报文中提取新组员标志信息和携带请求处理结果的原始响应报文,根据新组员标志信息将原始响应报文发送到新组员;
所述GCKS,用于接收所述代理发送的携带新组员标志信息和原始注册请求报文的请求报文,提取新组员标志信息和原始注册请求报文,并对原始注册请求报文进行处理,得出请求处理结果;用于将请求处理结果封装在原始响应报文中,将新组员标志信息和原始响应报文封装在响应报文中发送到代理。
可见,本发明实施例提供的组密钥管理中实现新组员注册的方法、装置和系统,在本地网络上部署代理。代理重新封装请求报文,向GCKS中继新组员发送的原始请求报文,并接收GCKS发送的响应报文,提取响应报文中的携带请求处理结果的原始响应报文,向新组员中继GCKS发送的原始响应报文,帮助新组员完成与GCKS的注册,实现了新组员加入时的自动注册。
附图说明
图1为现有技术组密钥管理的第一种部署场景的网络结构示意图;
图2为现有技术组密钥管理的第二种部署场景的网络结构示意图;
图3为现有技术组密钥管理的第三种部署场景的网络结构示意图;
图4为本发明实施例组密钥管理中实现新组员注册的方法流程图;
图5为本发明实施例组密钥管理中实现新组员注册的方法应用的网络结构示意图;
图6为本发明实施例组密钥管理中实现新组员注册的代理结构一示意图;
图7为本发明实施例组密钥管理中实现新组员注册的代理结构二示意图;
图8为本发明实施例组密钥管理中实现新组员注册的GCKS结构示意图;
图9为本发明实施例组密钥管理中实现新组员注册的系统结构示意图。
具体实施方式
为使本发明实施例的目的和优点更加清楚,下面结合附图对本发明实施例作进一步详细说明。
首先,详细介绍本发明实施例提供的组密钥管理中实现新组员注册的方法,图4示出了该方法的流程。
预先在需要自动组密钥管理服务的本地网络上部署代理。图4所示流程包括:
步骤401:代理接收本地网络的新组员发送的原始注册请求报文,将原始注册请求报文和新组员标志信息封装在请求报文中,向GCKS发送。
步骤402:代理接收GCKS返回的响应报文,从响应报文中提取新组员标志信息和携带请求处理结果的原始响应报文,根据新组员标志信息将原始响应报文向新组员发送。
以上所述步骤401~步骤402为本发明实施例提供的组密钥管理中实现新组员注册的方法流程,该流程为网络开始运行后,有新组员加入时实现的自动注册流程。根据实际应用情况,在注册过程中的每一个阶段应用步骤401~步骤402即可。
上述在本地网络上部署的代理,在网络运行的初始状态,可以通过手工配置、或通过自主学习等多种方式,获得初始GSA,建立与GCKS的通信连接。
上述本地网络可以是多播网络、广播网络或单播网络。
以MSEC的GKM协议注册过程可以分为两个阶段、本地网络为多播网络或广播网络为例,注册的第一阶段为组员向GCKS请求认证和密钥协商,注册的第二阶段为组员向GCKS请求GSA下载,获得GSA。则上述步骤401~步骤402组成的流程可以分别应用在上述两个注册阶段中。
在注册的第一个阶段,即组员向GCKS请求认证和密钥协商时,步骤401中代理接收加入所属多播或广播网络的新组员发送的原始注册请求报文,该原始注册请求报文中可以携带有关认证和密钥协商的参数,而步骤402中GCKS返回的响应报文中,原始响应报文携带的请求处理结果为认证和密钥协商信息;在注册的第二个阶段,即组员向GCKS请求GSA下载,获得GSA时,步骤401中代理接收加入所属多播网络的新组员发送的原始注册请求,该原始注册请求中可以携带有关GSA下载的参数,而步骤402中GCKS返回的响应报文中,原始响应报文携带的请求处理结果为所请求的GSA。
上述以MSEC的GKM协议注册的两个阶段为例,只是说明各阶段中交互的基本步骤,根据使用的MSEC的GKM协议具体不同,以及对应各不同协议中认证机制、交互模式的不同,各个阶段中的交互步骤数可能并不仅仅限于上述所列举出的两步,但相同点都是由代理中继新组员和GCKS之间交互所发送的报文。
本发明实施例提供的组密钥管理中实现新组员注册的方法,通过在需要自动组密钥管理服务的本地网络上部署代理。代理向GCKS中继新组员发送的原始注册请求,接收GCKS返回的响应报文,并向新组员中继该响应报文,帮助新组员完成与GCKS的注册,减少了复杂的配置工作,实现了新组员加入时的自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的方法,可以将OSPFv3 IPsec作为一种具体的应用场景,即本发明实施例提供的组密钥管理中实现新组员注册的方法,可以作为draft-liu-ospfy3-automated-keying-req提出的组密钥管理的第三种GCKS部署场景的补充,实现了新组员加入时的自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的方法,也可以通用于其他类似OSPFv3 IPsec的应用场景中。例如当GCKS被设置保密,即新组员无法识别GCKS时,从而无法向GCKS注册,此时也可以在有新组员动态加入的网络中部署一个代理,由代理统一负责向服务器中继新组员的注册请求,并向新组员中继服务器返回的响应,该部署的代理代替新组员实现了自动注册。
在上述步骤401和步骤402中,代理向GCKS中继新组员发送的原始注册请求报文,需要重新封装请求报文,代理接收的GCKS返回的响应报文也是GCKS将新组员标志信息和原始响应报文重新封装形成的。上述请求报文可以是在原始注册请求报文外添加新的报文头形成,响应报文也可以是在原始响应报文外添加新的报文头形成。假设原始注册请求报文或原始响应报文的报文头为HDR,封装的请求报文或响应报文新添加的报文头为HDR’,则封装的请求报文或响应报文的格式如表一所示。
| HDR’ | 新组员标志信息 | MSG{原始注册请求报文/响应报文} |
表一
其中,新组员标志信息、原始注册请求报文/响应报文都可以是类型-长度-取值格式,如表二所示。
| 类型 | 长度 | 取值 |
表二
上述新组员标志信息可以是新组员的源IP地址,此时在步骤401中,代理在封装请求报文之前,需要先从原始注册请求报文中提取新组员的源IP地址,而在步骤402中,代理可以直接根据响应报文中的新组员的源IP地址,将提取的原始响应报文向该源IP地址发送。新组员标志信息还可以是代理生成的新组员的本地标识,此时在步骤401中,代理在封装请求报文之前,需要先从原始注册请求报文中提取新组员的源IP地址,并生成对应该源IP地址的新组员的本地标识,存储新组员的本地标识和新组员的源IP地址的对应关系,而在步骤402中,代理可以从响应报文中提取新组员的本地标识,先从存储的新组员的本地标识和新组员的源IP地址的对应关系中,查找该新组员的本地标识对应的新组员的源IP地址,将提取的原始响应报文向该源IP地址发送。
在步骤401中,代理接收本地网络上的新组员发送的原始注册请求报文,实施方式可以为代理在本地网络上侦听新组员发送的原始注册请求报文,具体包括代理在多播或广播网络地址和端口上进行侦听,也包括代理在单播网络地址和端口上进行侦听。如果步骤401~步骤402应用在注册的第一阶段,以多播或广播网络为例,在步骤401中,新组员第一次向多播或广播网络中的代理发送原始注册请求报文,新组员可以采用多播或广播的方式发送该原始注册请求报文,而代理可以在指定的多播或广播地址和端口上侦听新组员发送的原始注册请求报文。如果步骤401~步骤402应用在注册的其他阶段,即新组员在已经完成的注册阶段中已经向多播或广播网络中的代理发送过原始注册请求报文,并且已经接收过该代理发送的原始响应报文,采用一种优化的方式,新组员可以采用单播的方式向已经完成的注册阶段中使用过的代理发送原始响应报文,当然这种情况下,新组员也可以仍然采用多播或广播的方式发送原始注册请求报文。
上述代理在单播地址和端口上侦听新组员发送的原始注册请求报文的情况中,可以通过手工配置或向新组员提供网络配置信息等多种方式,告知新组员发送原始注册请求报文的单播地址和端口,则新组员可以单播向该单播地址和端口发送原始注册请求报文,而代理可以在该指定的单播地址和端口上侦听新组员发送的原始注册请求报文。
图5示出了图4所示流程应用的网络结构,以多播网络为例,并且多播网络以Network#N标识,该多播网络中左上角的设备为部署的代理。数字1和2标识的箭头流程对应步骤401,数字3和4标识的箭头流程对应步骤402。
由于MSEC的GKM协议中又包括了多种具体的应用情况,下面以MSEC的GKM协议中的组解释域(Group Domain of Interpretation,GDOI)为例,在OSPFv3 IPsec应用场景中说明本发明实施例提供的组密钥管理中实现新组员注册的方法的应用情况。
在第一注册阶段,即组员向GCKS请求认证和密钥协商时,GDOI采用互联网密钥交换协议第1版(IKEv1,Internet Key Exchange version 1)作为协议,在第二注册阶段,即组员向GCKS请求GSA下载,获得GSA时,GDOI采用了自制的协议,因此在第一注册阶段和第二注册阶段中的具体交互步骤数已由上述协议规定。在两个注册阶段中所述的报文格式仍如表一和表二所示。各个报文中所携带的具体参数为协议规范中所规定的参数,这些参数的含义为本领域技术人员的公知常识,因此下面对这参数只作简单描述。以下描述中的新组员标志信息都采用新组员的本地标识,由于前述已经详细介绍过这种情况下,代理如何根据新组员的本地标识向新组员发送原始请求报文,因此下面的描述中针对这一方面不再赘述。
在第一个注册阶段中可以包括以下交互步骤:
代理接收新组员广播或多播发送的原始注册请求报文,该原始请求报文可以表示为:HDR,SA,KE,Ni,Idii,其中SA代表新组员支持的密钥策略,KE代表密钥协商,Ni代表随机性,Idii代表新组员的身份标识,该原始请求报文用于发起认证和密钥协商;
代理生成新组员本地标识TAG,并将新组员本地标识和原始注册请求报文封装在请求报文中向GCKS发送,请求报文可以表示为:HDR’,TAG,MSG{HDR,SA,KE,Ni,Idii},各参数含义和原始请求报文中的相同;
代理接收GCKS返回的响应报文,响应报文可以表示为:HDR’,TAG,MSG{HDR,SA,KE,Nr,Idir,[CERT],SIG_R},其中SA代表GCKS选择的密钥策略,KE代表密钥协商,Nr代表GCKS选择的随机数,Idir代表GCKS的身份标识,[CERT]代表证书即公钥,SIG_R代表GCKS的签名,用于验证GCKS的身份;
代理从响应报文中,提取出原始响应报文,根据响应报文中的新组员本地标识TAG,将原始响应报文单播向新组员发送,提取出的原始响应报文表示为:HDR,SA,KE,Nr,Idir,[CERT],SIG_R;
根据协议规定,代理还需接收新组员广播或单播发送的用于验证新组员身份的原始注册请求报文,该原始注册请求报文可以表示为:HDR,[CERT],SIG_I,其中[CERT]为证书,而SIG_I为新组员的签名;
代理将上述用于验证新组员身份的原始注册请求报文,和新组员的本地标识TAG封装在请求报文中向GCKS发送,该请求报文可以为:HDR’,TAG,MSG{HDR,[CERT],SIG_I}。
以上为第一个注册阶段中,代理向GCKS中继新组员发送的原始注册请求报文,以及向新组员中继GCKS返回的响应报文的交互步骤,可以看出在GDOI的应用场景下,该交互包括1.5个交互步骤,在除GDOI的其他应用场景下,该交互也可能包括2.5个交互步骤等,这将由具体的协议做详细的规定,但代理在新组员和GCKS之间所起的中继作用不会改变。
如果在第一个注册阶段采用现有协议中规定的方法,则需要新组员和GCKS直接交互,所采取的命令参数和本发明实施例相同,但没有代理参与交互,并且每一条报文采用单播的方式发送。
在第二个注册阶段中,为区别第一个注册阶段中的原始注册请求报文,将第二个注册阶段的原始注册请求报文的报文头设为HDR*。在第二个注册阶段中,可以包括以下交互步骤:
代理接收新组员广播或单播发送的原始注册请求报文,该原始注册请求报文可以表示为:HDR*,HASH(1),Ni,ID,其中HASH(1)代表密钥算法,Ni和ID的含义与第一注册阶段中相同;
代理生成新组员本地标识TAG,并将新组员本地标识和原始注册请求报文封装在请求报文中向GCKS发送,该请求报文可以表示为:HDR’,TAG,MSG{HDR*,HASH(1),Ni,ID};
代理接收GCKS返回的响应报文,该响应报文可以表示为:HDR’,TAG,MSG{HDR*,HASH(2),Nr,SA};
代理从响应报文中提取原始响应报文,根据响应报文中的新组员本地标识TAG,将原始响应报文单播向新组员发送,该原始响应报文表示为:HDR*,HASH(2),Nr,SA;
代理接收新组员广播或单播发送的原始注册请求报文,该原始注册请求报文可以为:HDR*,HASH(3),[KE_I],[CERT],[POP_I],其中HASH(3)为新组员考虑前一步骤中得到的Nr随机数后的新密钥算法,[KE_I]代表新密钥协商,[POP_I]代表基于证书的签名;
代理将接收的新组员发送的原始注册请求报文,和新组员的本地标识TAG封装在请求报文中向GCKS发送,该请求报文可以为:HDR’,TAG,MSG{HDR*,HASH(3),[KE_I],[CERT],[POP_I]};
代理接收GCKS发送的响应报文,该响应报文可以为:HDR’,TAG,MSG{HDR*,HASH(4),[KE_R],[SEQ],KD,[CERT],[POP_R]},其中KD携带新组员所需的GSA,[SEQ]比较新旧密钥是否相同;
代理从接收的响应报文中提取原始响应报文,将原始响应报文单播向新组员发送,该原始响应报文包括:HDR*,HASH(4),[KE_R],[SEQ],KD,[CERT],[POP_R]。
以上为第二个注册阶段中,代理向GCKS中继新组员发送的原始注册请求报文,以及向新组员中继GCKS返回的响应报文的交互步骤。这是在协议规定的GDOI应用场景下的交互步骤,在除GDOI的其他应用场景下,该交互也可能多于或少于此交互步骤,这要根据协议的具体规定来执行,但代理在新组员和GCKS之间所起的中继作用不会改变。
如果在第二个注册阶段采用现有协议中规定的方法,则需要新组员和GCKS直接交互,所采取的命令参数和本发明实施例相同,但没有代理参与交互,并且每一条报文采用单播的方式完成。
其次,介绍本发明实施例提供的组密钥管理中实现新组员注册的装置,这里所说的装置包括两种情况,第一为代理,第二为GCKS,下面分别进行介绍。
本发明实施例提供的组密钥管理中实现新组员注册的代理包括:封装处理模块和解析处理模块。
封装处理模块,用于接收本地网络的新组员发送的原始注册请求报文,将原始注册请求报文和新组员标志信息封装在请求报文中,向GCKS发送;
解析处理模块,用于接收GCKS返回的响应报文,从响应报文中提取新组员标志信息和携带请求处理结果的原始响应报文,根据新组员标志信息将原始响应报文向新组员发送。
本发明实施例提供的组密钥管理中实现新组员注册的代理,向GCKS中继新组员发送的原始注册请求,接收GCKS返回的响应报文,并向新组员中继来自该响应报文,帮助新组员完成与GCKS的注册,减少了复杂的配置工作,实现了新组员加入时的自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的代理,可以部署在每个需要自动组密钥管理服务的本地网络中,本地网络可以是多播网络、广播网络或单播网络,例如可以部署在每个需要自动组密钥管理服务的OSPFv3多播网络中。
在上述代理的结构描述中所述的新组员标志信息,与首先描述的方法中一样,可以为新组员的源IP地址,也可以是代理根据新组员的源IP地址生成的新组员的本地标识。
当新组员标志信息为新组员的源IP地址时,上述代理中的封装处理模块中可以包括:接收模块、封装执行模块和源IP地址提取模块。图6示出了对应这种情况的代理的结构一。
接收模块,用于接收本地网络的新组员发送的原始注册请求报文,传输给封装执行模块和源IP地址提取模块;
源IP地址提取模块,用于从接收模块传输的原始注册请求报文中提取新组员的源IP地址;
封装执行模块,用于将源IP地址提取模块提取的新组员的源IP地址和接收模块传输的原始注册请求报文,封装在请求报文中,向GCKS发送。
当新组员标志信息为代理根据新组员的源IP地址生成的新组员的本地标识时,上述代理中的封装处理模块中可以包括:第一接收模块、封装执行模块、源IP地址提取模块和本地标识生成模块,所述代理中进一步包括存储模块。图7示出了对应这种情况的代理的结构二。
第一接收模块,用于接收本地网络的新组员发送的原始注册请求报文,传输给封装执行模块和源IP地址提取模块。
源IP地址提取模块,用于从第一接收模块传输的的原始注册请求报文中提取新组员的源IP地址。
本地标识生成模块,用于根据源IP地址提取模块提取的新组员的源IP地址,生成对应该新组员的源IP地址的新组员的本地标识,并将新组员的源IP地址与新组员的本地标识的对应关系存储到存储模块。
封装执行模块,用于将本地标识生成模块生成的新组员本地标识,和第一接收模块传输的原始注册请求报文,封装在请求报文中,向GCKS发送。
存储模块,用于存储本地标识生成模块提供的新组员的源IP地址和新组员的本地标识的对应关系。
当新组员标志信息为代理根据新组员的源IP地址生成的新组员本地标识时,所述代理中的解析处理模块中可以包括:第二接收模块、查询模块和解析执行模块。
第二接收模块,用于接收GCKS返回的响应报文,传输给解析执行模块;
查询模块,用于根据解析执行模块从响应报文中提取的新组员的本地标识,在所述存储模块中查询新组员的本地标识对应的新组员的源IP地址;
解析执行模块,用于从第二接收模块传输的响应报文中提取新组员的本地标识和携带请求结果的原始响应报文,根据查询模块查询的新组员的源IP地址,将提取的原始响应报文向新组员的源IP地址发送。
图8为本发明实施例提供的组密钥管理中实现新组员注册的GCKS的结构示意图,该GCKS包括:报文处理模块和报文封装模块。
报文处理模块,用于接收代理发送的携带新组员标志信息和原始注册请求报文的请求报文,提取新组员标志信息和原始注册请求报文,对原始注册请求报文进行处理,得出请求处理结果。
报文封装模块,用于将报文处理模块得出的请求处理结果封装在原始响应报文中,将报文处理模块提取的新组员标志信息和所述原始响应报文封装在响应报文中,向代理发送。
本发明实施例提供的组密钥管理中实现新组员注册的GCKS,可以视为配合本发明实施例提供的组密钥管理中实现新组员注册的代理使用。
最后,介绍本发明实施例提供的组密钥管理中实现新组员注册的系统,图9示出了该系统的结构示意图,该系统包括:新组员、代理和GCKS。
新组员,用于向本地网络中的代理发送原始注册请求报文,接收本地网络中的代理发送的携带请求处理结果的原始响应报文。
代理,用于接收本地网络的新组员发送的原始注册请求报文,将原始注册请求报文和新组员标志信息封装在请求报文中,发送到GCKS;接收GCKS返回的响应报文,从响应报文中提取新组员标志信息和携带请求处理结果的原始响应报文,根据新组员标志信息将原始响应报文发送到新组员。代理可以部署在每个需要自动组密钥管理服务的OSPFv3多播网络上。
GCKS,用于接收代理发送的携带新组员标志信息和原始注册请求报文的请求报文,提取新组员标志信息和原始注册请求报文,并对原始注册请求报文进行处理,得出请求处理结果;将请求处理结果封装在原始响应报文中,将新组员标志信息和原始响应报文封装在响应报文中,发送到代理。
本发明实施例提供的组密钥管理中实现新组员注册的系统,代理可以部署在本地的多播网络、广播网络或单播网络上,部署的代理向GCKS中继新组员发送的原始注册请求,接收GCKS发送的响应报文,并向新组员中继响应报文,帮助新组员完成与GCKS的注册,减少了复杂的配置工作,实现了新组员加入时的自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的代理,可以作为上述系统中代理的较佳实施方式,而本发明实施例提供的组密钥管理中实现新组员注册的GCKS,可以作为上述系统中GCKS的较佳实施方式,这里不再赘述。
本发明实施例提供的组密钥管理中实现新组员注册的代理、GCKS和系统,均可以按照本发明实施例提供的组密钥管理中实现新组员注册的方法的对应部分工作,这里不再赘述。
本发明实施例提供的组密钥管理中实现新组员注册的方法、装置和系统,在本地网络上部署的代理。代理通过重新封装的请求报文,向GCKS中继新组员发送的原始请求报文,接收GCKS返回的响应报文,并提取响应报文中的携带请求处理结果的原始响应报文,向新组员中继GCKS发送的原始响应报文,帮助新组员完成与GCKS的注册,减少了复杂的配置工作,实现了新组员加入时的自动注册。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1、一种组密钥管理中实现新组员注册的方法,其特征在于,在需要自动组密钥管理服务的本地网络上部署代理,该方法还包括:
代理接收本地网络的新组员发送的原始注册请求报文,将所述原始注册请求报文和所述新组员标志信息封装在请求报文中,向组控制器和密钥管理服务器GCKS发送;
代理接收所述GCKS返回的响应报文,从所述响应报文中提取所述新组员标志信息和携带请求处理结果的原始响应报文,根据所述新组员标志信息将所述原始响应报文向所述新组员发送。
2、如权利要求1所述的方法,其特征在于,所述新组员标志信息为所述新组员的源IP地址;
所述代理接收原始注册请求报文之后、将所述原始注册请求报文和所述新组员标志信息封装在请求报文中之前进一步包括:
代理从所述原始注册请求报文中,提取所述新组员的源IP地址。
3、如权利要求2所述的方法,其特征在于,所述响应报文中的新组员标志信息为所述新组员的源IP地址;所述代理根据所述新组员标志信息将所述原始响应报文向所述新组员发送为:
所述代理将所述原始响应报文向所述新组员的源IP地址发送。
4、如权利要求1所述的方法,其特征在于,所述新组员标志信息为所述新组员的本地标识;
所述代理接收原始注册请求报文之后、将所述原始注册请求报文和所述新组员标志信息封装在请求报文中之前进一步包括:代理从所述原始注册请求报文中,提取所述新组员的源IP地址,生成对应该源IP地址的新组员的本地标识;
所述代理将请求报文向GCKS发送之前进一步包括:保存所述新组员的本地标识与所述新组员的源IP地址的对应关系。
5、如权利要求4所述的方法,其特征在于,所述响应报文中封装的新组员标志信息为所述新组员的本地标识;所述代理根据所述新组员标志信息将所述原始响应报文向所述新组员发送为:
所述代理从所述响应报文中提取原始响应报文和新组员的本地标识,根据保存的新组员的本地标识与新组员的源IP地址的对应关系,将所述原始响应报文向所述新组员的本地标识对应的新组员的源IP地址发送。
6、如权利要求1所述的方法,其特征在于,所述代理接收新组员发送的原始注册请求报文为:所述代理在本地网络侦听所述新组员发送的原始注册请求报文。
7、一种组密钥管理中实现新组员注册的代理,其特征在于,该代理包括:封装处理模块和解析处理模块;
所述封装处理模块,用于接收本地网络的新组员发送的原始注册请求报文,将所述原始注册请求报文和所述新组员标志信息封装在请求报文中,向GCKS发送;
所述解析处理模块,用于接收所述GCKS返回的响应报文,从所述响应报文中提取所述新组员标志信息和携带请求处理结果的原始响应报文,根据所述新组员标志信息将所述原始响应报文向所述新组员发送。
8、如权利要求7所述的装置,其特征在于,所述新组员标志信息为所述新组员的源IP地址;所述封装处理模块包括:接收模块、封装执行模块和源IP地址提取模块;
所述接收模块,用于接收本地网络的新组员发送的原始注册请求报文,传输给所述封装执行模块和所述源IP地址提取模块;
所述源IP地址提取模块,用于从所述接收模块传输的原始注册请求报文中提取所述新组员的源IP地址;
所述封装执行模块,用于将所述源IP地址提取模块提取的新组员的源IP地址和接收模块传输的原始注册请求报文,封装在请求报文中,向GCKS发送。
9、如权利要求7所述的装置,其特征在于,所述新组员标志信息为新组员的本地标识;所述封装处理模块中包括:第一接收模块、封装执行模块、源IP地址提取模块和本地标识生成模块;所述代理中进一步包括存储模块;
所述第一接收模块,用于接收本地网络的新组员发送的原始注册请求报文,传输给所述封装执行模块和所述源IP地址提取模块;
所述源IP地址提取模块,用于从所述第一接收模块传输的的原始注册请求报文中提取所述新组员的源IP地址;
所述本地标识生成模块,用于根据所述源IP地址提取模块提取的新组员的源IP地址,生成对应该新组员的源IP地址的新组员的本地标识,并将所述新组员的源IP地址与所述新组员的本地标识的对应关系存储到所述存储模块;
所述封装执行模块,用于将所述本地标识生成模块生成的所述新组员本地标识,和所述第一接收模块传输的原始注册请求报文,封装在请求报文中,向GCKS发送;
所述存储模块,用于存储所述本地标识生成模块提供的所述新组员的源IP地址和所述新组员的本地标识的对应关系。
10、如权利要求9所述的装置,其特征在于,所述解析处理模块包括:第二接收模块、查询模块和解析执行模块;
所述第二接收模块,用于接收所述GCKS返回的响应报文,传输给所述解析执行模块;
所述查询模块,用于根据所述解析执行模块从所述响应报文中提取的新组员的本地标识,在所述存储模块中查询所述新组员的本地标识对应的新组员的源IP地址;
所述解析执行模块,用于从所述第二接收模块传输的响应报文中提取所述新组员的本地标识和携带请求结果的原始响应报文;根据所述查询模块查询的新组员的源IP地址,将所述提取的原始响应报文向所述新组员的源IP地址发送。
11、一种组密钥管理中实现新组员注册的组控制器和密钥管理服务器GCKS,其特征在于,该GCKS包括:报文处理模块和报文封装模块;
所述报文处理模块,用于接收代理发送的携带新组员标志信息和原始注册请求报文的请求报文,提取所述新组员标志信息和所述原始注册请求报文,对所述原始注册请求报文进行处理,得出请求处理结果;
所述报文封装模块,用于将所述报文处理模块得出的请求处理结果封装在原始响应报文中,将所述报文处理模块提取的新组员标志信息和所述原始响应报文封装在响应报文中,向代理发送。
12、一种组密钥管理中实现新组员注册的系统,其特征在于,该系统包括:组控制器和密钥管理服务器GCKS、代理和新组员;
所述新组员,用于向本地网络中的代理发送原始注册请求报文,接收所述本地网络中的代理发送的携带请求处理结果的原始响应报文;
所述代理,用于接收本地网络中的新组员发送的原始注册请求报文,将原始注册请求报文和新组员标志信息封装在请求报文中,发送到所述GCKS;接收GCKS返回的响应报文,从响应报文中提取新组员标志信息和携带请求处理结果的原始响应报文,根据新组员标志信息将原始响应报文发送到新组员;
所述GCKS,用于接收所述代理发送的携带新组员标志信息和原始注册请求报文的请求报文,提取新组员标志信息和原始注册请求报文,并对原始注册请求报文进行处理,得出请求处理结果;用于将请求处理结果封装在原始响应报文中,将新组员标志信息和原始响应报文封装在响应报文中发送到代理。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101363360A CN101355425A (zh) | 2007-07-24 | 2007-07-24 | 组密钥管理中实现新组员注册的方法、装置及系统 |
| PCT/CN2008/071040 WO2009012670A1 (fr) | 2007-07-24 | 2008-05-22 | Procédé, dispositif et système permettant d'enregistrer un nouveau membre de groupe lors d'une gestion de clé multidiffusion |
| EP08748646A EP2161873A4 (en) | 2007-07-24 | 2008-05-22 | METHOD, DEVICE AND GROUP MEMBER REGISTRATION SYSTEM FOR THE MULTICAST KEY MANAGEMENT |
| US12/689,557 US20100122084A1 (en) | 2007-07-24 | 2010-01-19 | Method, apparatus and system for registering new member in group key management |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101363360A CN101355425A (zh) | 2007-07-24 | 2007-07-24 | 组密钥管理中实现新组员注册的方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101355425A true CN101355425A (zh) | 2009-01-28 |
Family
ID=40280999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101363360A Pending CN101355425A (zh) | 2007-07-24 | 2007-07-24 | 组密钥管理中实现新组员注册的方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100122084A1 (zh) |
| EP (1) | EP2161873A4 (zh) |
| CN (1) | CN101355425A (zh) |
| WO (1) | WO2009012670A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997677A (zh) * | 2009-08-18 | 2011-03-30 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| CN101719894B (zh) * | 2009-05-21 | 2013-08-07 | 中兴通讯股份有限公司 | 一种安全发送延迟媒体的实现系统及方法 |
| CN103269276A (zh) * | 2013-05-22 | 2013-08-28 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
| WO2014008846A1 (en) * | 2012-07-09 | 2014-01-16 | Hangzhou H3C Technologies Co., Ltd. | Get vpn group member registration |
| CN104038335A (zh) * | 2014-06-05 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种gd vpn升级方法和装置 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8411866B2 (en) * | 2007-11-14 | 2013-04-02 | Cisco Technology, Inc. | Distribution of group cryptography material in a mobile IP environment |
| US9294270B2 (en) | 2010-01-05 | 2016-03-22 | Cisco Technology, Inc. | Detection of stale encryption policy by group members |
| JP5824326B2 (ja) * | 2011-10-28 | 2015-11-25 | キヤノン株式会社 | 管理装置、管理方法、およびプログラム |
| US9882713B1 (en) * | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
| US9923715B2 (en) * | 2015-06-09 | 2018-03-20 | Intel Corporation | System, apparatus and method for group key distribution for a network |
| US9980303B2 (en) | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
| US10075345B2 (en) * | 2016-04-06 | 2018-09-11 | Wyse Technology L.L.C. | Cloud based manual discovery of devices in a device management environment |
| CN110099393B (zh) * | 2018-01-30 | 2022-06-21 | 阿里巴巴集团控股有限公司 | 监测配网设备的网络接入状态的方法、装置和系统 |
| CN112328407A (zh) * | 2020-10-20 | 2021-02-05 | 北京空间飞行器总体设计部 | 一种适用于航天器研制管理任务协调的消息传递系统 |
| US20220255905A1 (en) * | 2021-02-08 | 2022-08-11 | Tailscale Inc. | Centralized management control lists for private networks |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1134201C (zh) * | 2001-11-13 | 2004-01-07 | 西安西电捷通无线网络通信有限公司 | 一种移动终端跨ip网际漫游的方法 |
| US7616597B2 (en) * | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
| WO2005046126A1 (en) * | 2003-10-31 | 2005-05-19 | Juniper Networks, Inc. | Secure transport of multicast traffic |
| EP1549010B1 (en) * | 2003-12-23 | 2008-08-13 | Motorola Inc. | Rekeying in secure mobile multicast communications |
| US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| US7496061B2 (en) * | 2005-05-25 | 2009-02-24 | Cisco Technology, Inc. | Providing a multicast service using a multicast group-source key |
| CN1921378B (zh) * | 2006-09-28 | 2010-07-28 | 中国移动通信集团公司 | 一种协商新鉴权密钥的方法和系统 |
-
2007
- 2007-07-24 CN CNA2007101363360A patent/CN101355425A/zh active Pending
-
2008
- 2008-05-22 EP EP08748646A patent/EP2161873A4/en not_active Withdrawn
- 2008-05-22 WO PCT/CN2008/071040 patent/WO2009012670A1/zh active Application Filing
-
2010
- 2010-01-19 US US12/689,557 patent/US20100122084A1/en not_active Abandoned
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719894B (zh) * | 2009-05-21 | 2013-08-07 | 中兴通讯股份有限公司 | 一种安全发送延迟媒体的实现系统及方法 |
| CN101997677A (zh) * | 2009-08-18 | 2011-03-30 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| WO2014008846A1 (en) * | 2012-07-09 | 2014-01-16 | Hangzhou H3C Technologies Co., Ltd. | Get vpn group member registration |
| CN103546420A (zh) * | 2012-07-09 | 2014-01-29 | 杭州华三通信技术有限公司 | Get vpn中gm向ks注册的方法及gm和ks |
| GB2515662B (en) * | 2012-07-09 | 2015-11-25 | Hangzhou H3C Tech Co Ltd | Get VPN group member registration |
| US9344434B2 (en) | 2012-07-09 | 2016-05-17 | Hangzhou H3C Technologies Co., Ltd. | GET VPN group member registration |
| CN103546420B (zh) * | 2012-07-09 | 2016-08-03 | 杭州华三通信技术有限公司 | Get vpn中gm向ks注册的方法及gm和ks |
| CN103269276A (zh) * | 2013-05-22 | 2013-08-28 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
| CN103269276B (zh) * | 2013-05-22 | 2016-03-16 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
| CN104038335A (zh) * | 2014-06-05 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种gd vpn升级方法和装置 |
| CN104038335B (zh) * | 2014-06-05 | 2017-06-06 | 新华三技术有限公司 | 一种gd vpn升级方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100122084A1 (en) | 2010-05-13 |
| EP2161873A4 (en) | 2010-08-25 |
| EP2161873A1 (en) | 2010-03-10 |
| WO2009012670A1 (fr) | 2009-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101355425A (zh) | 组密钥管理中实现新组员注册的方法、装置及系统 | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| US9317688B2 (en) | Method and apparatus for providing machine-to-machine service | |
| US20030041170A1 (en) | System providing a virtual private network service | |
| US10637794B2 (en) | Resource subscription method, resource subscription apparatus, and resource subscription system | |
| CN101557337B (zh) | 网络隧道建立方法、数据传输方法、通讯系统及相关设备 | |
| CN103209108B (zh) | 一种基于dvpn的路由生成方法和设备 | |
| EP2922246B1 (en) | Method and data center network for cross-service zone communication | |
| CN109413194B (zh) | 用于移动通信系统的用户信息云端协同处理及转移方法 | |
| CN104023022B (zh) | 一种IPSec SA的获取方法和装置 | |
| CN101399661A (zh) | 一种组密钥管理中的合法邻居认证方法和装置 | |
| CN105007164B (zh) | 一种集中式安全控制方法及装置 | |
| CN102437946B (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
| CN107659930A (zh) | 一种ap接入控制方法和装置 | |
| CN115955456A (zh) | 基于IPv6的企业园区网及组网方法 | |
| CN108092897B (zh) | 一种基于sdn的可信路由源管理方法 | |
| CN106878481A (zh) | 一种网络互连协议ip地址获取方法、装置和系统 | |
| CN103442450B (zh) | 无线通信方法和无线通信设备 | |
| JP7209593B2 (ja) | 中継方法、中継システム、及び中継用プログラム | |
| CN108123943B (zh) | 信息验证方法及装置 | |
| CN104639439A (zh) | 一种业务报文的处理方法和设备 | |
| Jeong et al. | Lisp controller: a centralized lisp management system for isp networks | |
| CN107888383B (zh) | 登录认证方法及装置 | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| CN112887968B (zh) | 一种网络设备管理方法、装置、网络管理设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090128 |